אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
שיתוף מידע על פרצות סייבר יכול להסתיים בבית משפט צלם: מושיק ברין

שיתוף מידע על פרצות סייבר יכול להסתיים בבית משפט

שיתוף המידע שמתבצע תחת מטריית רשויות הסייבר הלאומיות עשוי לחשוף חברות לתביעות על עבירת הסדר כובל. כיום החוק הישראלי אינו מכיר בייחודיות של שיתוף המידע בתחום

04.05.2016, 19:07 | חגי דורון
מרבית הגופים במשק נערכו בתקופה האחרונה למתקפת ההאקרים השנתית נגד ישראל, שמתקיימת כבר ארבע שנים ברציפות סביב ה-7 באפריל ("OpIsrael"). בין שלל הבעיות שמעוררת ההתמודדות עם תחום הסייבר, הרשויות נדרשות להתמודד גם עם בעיה משפטית חדשה: ההגנה על הסייבר דורשת תיאום, ותיאום אינו תמיד חוקי במישור דיני ההגבלים העסקיים.

קראו עוד בכלכליסט

כידוע, סיכוני הסייבר הולכים וגדלים בהתמדה. מדובר בסיכונים כלל עולמיים, העלולים לעלות כדי פגיעה של ממש בביטחון המדינה. התמודדות יעילה עם סיכוני סייבר מחייבת פעולות רוחביות, תיאום ושיתוף פעולה בין הגורמים השונים והעברה של מידע ביניהם. חוזקה של שרשרת האבטחה הוא כחוזקה של החוליה החלשה בה.

שיתפתם מידע על פרצות סייבר? אתם עשויים להיות חשופים לתביעה על עבירת הסדר כובל, צילום: דור מנואל שיתפתם מידע על פרצות סייבר? אתם עשויים להיות חשופים לתביעה על עבירת הסדר כובל | צילום: דור מנואל שיתפתם מידע על פרצות סייבר? אתם עשויים להיות חשופים לתביעה על עבירת הסדר כובל, צילום: דור מנואל

מסיבה זו הקימה הממשלה גופים שונים להתמודדות עם סיכוני סייבר, כגון מטה הסייבר הלאומי, הרשות הלאומית להגנת סייבר והמרכז הלאומי להתמודדות עם איומי סייבר, שנועדו להסדיר את שוק הסייבר בישראל, ולרכז ולשתף מידע בעניין.

מנגד, חוק ההגבלים העסקיים, בהתאם לפרשנות רשות ההגבלים, אוסר על כל שיתוף פעולה או תיאום עסקי, ובפרט על תיאום רוחבי בין מתחרים. די בישיבה משותפת של מתחרים סביב "שולחן עגול", כדי שתיחשד כהסדר כובל. גם אם התיאום או העברת המידע ייעשו לתועלת הציבור, לא יהיה בכך להוות הגנה, שכן עבירת הסדר כובל אינה דורשת כוונה פלילית ויכולה להתקיים גם במחדל.

גם אם גורם שלטוני יתווך בין המתחרים את התיאום והעברת המידע בענייני סייבר, לא יהיה בכך להעניק למנהליהן חסינות או פטור. ניסיון עבר המלמד כי טענות בדבר מעורבות גורמי שלטון בעידוד, ידיעה ואף יצירת הסדר בין מתחרים, לא הועילו לרבות במישור הפלילי.

המרכז הלאומי להתמודדות עם איומי הסייבר, שהחל פעילותו לפני כשנה, הוא מוקד פוטנציאלי לתיווך ותיאום מידע בתחום הסייבר. בין השאר, פעילות המרכז מבוססת על שיתוף מידע שמגיע "מהשטח", בין חברות וארגונים המתמודדים עם התקפות הסייבר.

לאחרונה פרסמה הממונה על שוק ההון ביטוח וחיסכון, טיוטת הוראה לניהול סיכוני סייבר בגופים מוסדיים, הכוללת הנחייה ל"שיתוף הדדי של מידע קיברנטי" עם המרכז הלאומי להתמודדות עם איומי הסייבר. "שיתוף הדדי" בין מתחרים, גם אם בתיווך מרכז ממשלתי, עלול לעורר בעיות מהותיות של הגבלים עסקיים.

נכון להיום, האפשרויות להימנע מתחולת דיני ההגבלים לעניין מסוים – מוגבלת. דרך אחת היא פנייה לרשות לקבלת פטור מראש או לבית הדין להגבלים עסקיים לקבלת אישור אד-הוק. ואולם, אלה הליכים מורכבים, ארוכים ובלתי יעילים, בפרט בעולם הסייבר בו הצרכים והסיכונים משתנים ומתפתחים ללא הרף.

כמו כן, הדבר עלול להציף את הרשות באלפי פניות לקבלת פטור, שהיא אינה ערוכה להן ואינה מעוניינת להתמודד עמן. אפשרות אחרת היא פרסום 'גילוי דעת' כללי של הרשות, בו תיקבע מדיניות שתאפשר תיאום רוחבי בין מתחרות לשם התמודדות עם תקיפות סייבר.

הדבר נעשה בעניין 'באג 2000', אולם אז דובר על הסדרה בגזרה צרה בלבד, וספק אם פתרון זה מתאים לסיכוני הסייבר הרבים, המשתנים כל הזמן. דרך שלישית, דרך המלך, שתיתן מענה מלא והולם לסיכון של יצירת הסדר כובל, היא הסדרה בחקיקה של פטור מתחולת דיני ההגבלים בעניין סיכוני סייבר.

נכון להיום, קיימת התנגשות שאין לה מענה חוקי בין דיני ההגבלים לבין צורך המציאות ושיקולי ביטחון המדינה והמשק בקשר לסיכוני הסייבר. לאחרונה פסק בג"ץ בעניין מתווה הגז כי מטעמים של ביטחון המדינה, ניתן לעשות שימוש בסע' 52 לחוק ההגבלים העסקיים כדי לעקוף את דיני ההגבלים ואת סמכות הרשות.

בהנחה שרשות ההגבלים אינה מעוניינת שגם תחום הסייבר יוסדר תוך עקיפת סמכויותיה ומעל ראשה, עליה לפעול כבר עכשיו ולהתייחס להתנגשות זו מיוזמתה. על הרשות לקבוע מדיניות בעניין אכיפה או מתן פטור בקשר לאיומי סייבר, בגילוי דעת מטעמה או אף מוטב בחקיקה ברוח זו.

הכותב הוא שותף במשרד ש. הורוביץ ושות', ראש תחום הגבלים עסקיים וסייבר

שיתוף בטוויטר שיתוף בוואטסאפ שיתוף בפייסבוק שיתוף במייל

תגיות

2 תגובות לכתיבת תגובה לכתיבת תגובה

2.
קשקושים של ממש
כל שלושת הגופים האלה הם בדיחה מהלכת. עוד ניסיון של הממשלה לסדר לאנשים לא ראויים 'גובים'. אין שום הגיון או סיבה להסדיר ברגולציה את התחום החופשי הזה בשם אידיאל לא קשור של בטחון המדינה. המדינה מזה עשורים דואגת לבטחונה ולבטחון האינטרסים והמשאבים שלה גם כנגד סיכוני הסייבר. מה הקשר בין זה לבין רישוי ורגולציה על השוק הפרטי? דווקא בתחום הזה, בניגוד לתחומים רבים אחרים במדינת ישראל, יש באמת תחרות והרבה שחקנים בשוק, הישראלי והעולמי בכלל (שנותנים גם הם שירותים ללקוחות ישראליים). כותב הכתבה גם שכח שאין כלל תיאום של מחירים, רעיונות או שירותים בשוק הסייבר, וששוק זה (בניגוד ליתר השווקים במדינה) הוא לא מונופול, אוליגופול או פול אחר כלשהו... חברות הייעוץ וחברות המוצר בתחום הזה הן רבות, אין להן שום אינטרס לתאם רעיונות או דרכי התמודדות עם סיכוני הסייבר ובטח שלא מחירים... יש הרבה ביקוש ויש הרבה היצע....
05.05.16
1.
לא מדויק
ראשית יש תקדימים דומים כמו מערכות למניעת הונאות של הבנקים וחברות כרטיסי האשראי. שנית, ניתן לבנות את העסקה כך שלא תהיה "שולחן משותף", למשל באמצעות גוף חיצוני שינהל מאגר של המידע הדרוש למניעת התקפות סייבר ויאפשר לחברים במאגר גישה למידע. כך אין חשש לשולחן משותף, אין ישיבה משותפת של המתחרים, אין חשש מזליגת מידע הקשור לתחומי התחרות של הצדדים ואין בעיה.
05.05.16